小菜只能找找没人用的cms练练手了

cnvd上有个 CoverCMS V1.16存在多个漏洞

漏洞描述 :CoverCMS V1.16存在重装、信息泄露、暴力破解、存储型跨站脚本和反射型跨站脚本漏洞。攻击者可利用漏洞获取敏感信息,如数据库账号密码、数据库名泄露、后台默认弱口令;在用户投稿文章页面中插入恶意js代码,可获得用户cookie等信息,导致用户被劫持;在前台搜索框处构造XSS语句,可进行弹框操作,获得用户cookie等信息。

简单安装完后看看代码吧。

重装漏洞

安装完后会在/dynamic/下生产install.lock

install.php

$lockfile = './dynamic/install.lock';

$step = $_POST['step'] ? $_POST['step'] : ($_GET['step'] ? $_GET['step'] : 1);

.../省略

if(!isset($dbhost) || !isset($ckpre)){

	$ierror = lang('base.inc.php noexist , please upload .');

}elseif(!ini_get('short_open_tag')){

	$ierror = lang('shorttaginvalid');

}elseif(file_exists($lockfile)){

	$ierror = lang('lockexist');

}elseif(!class_exists('cls_mysql')){

	$ierror = lang('include/mysql.cls.php noexist , please upload .');

}

安装时会进行判断是否存在install.lock

如果存在会进行提示,但是没有exit()

我们再次访问http://localhost/covercms/install.php

发现开始安装的按钮无法点击。

if($step == 1){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_introduce')."</div>";

	ins_mider();

	hidden_str('step',2);

	button_str('submit',lang('start install'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

}elseif($step == '2'){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_license')."</div>";

	ins_mider();

	hidden_str('step',3);

	button_str('submit',lang('agree'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

.../省略

button_str函数会根据$ierror在html标签添加 disabled=""

F12删掉 或直接http://localhost/covercms/install.php?step=2

就可以跳步骤了

虽然能看到 数据库账号密码、数据库名泄露、后台默认弱口令

但还是重装不了啊...

前台搜索xss

search.php

if($searchword){

	$filterstr .= ($filterstr ? '&' : '').'searchword='.rawurlencode(stripslashes($searchword));

}

对搜索词根本没过滤

闭合前后标签即可

"> <script>alert(/xss/)</script> <"

在用户投稿文章页面中插入恶意js代码

没找到 先留着

任意文件包含漏洞 (多处)

搜索带include和$的 可能存在漏洞

带后缀的就不看了

answers.inc.php

if(!submitcheck('barcsedit')){ //满足barcsedit为空 不设置即可

			if(empty($u_tplname)){

                //$u_tplname 可以变量覆盖(general.inc.php中伪全局 在admina中引用)

				echo form_str($actionid.'arcsedit',"?entry=answers&action=answersedit&page=$page$param_suffix");

				//搜索区块

				tabheader_e();

....//省略

			}else include(M_ROOT.$u_tplname);

....//省略

.inc.php的文件会在admina.php中引用

include_once M_ROOT.'./admina/'.$entry.'.inc.php';

构造url http://localhost/covercms/admina.php?entry=answers&action=answersedit&u_tplname=robots.txt

其他include $u_tplname的与之类似

代码审计:covercms 1.6的更多相关文章

  1. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  2. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  3. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  4. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  5. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  6. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  7. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  9. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

随机推荐

  1. MiniUI表单验证实践

    学习实践: <form id="form2"> <div id="update_pas" style="width:380px&qu ...

  2. redis-cli 使用密码登录

    #./redis-cli 输入auth +空格+ 刚才设置的密码 成功

  3. osgViewer

    /* -*-c++-*- OpenSceneGraph - Copyright (C) 1998-2006 Robert Osfield * * This library is open source ...

  4. SVL-VI SLAM

    3.4. Mappoints management and key frame process如果在步骤3.3中成功跟踪地图点,则缓存地图点以在下一帧中优先化.当完成当前帧的跟踪时,应该为下一帧更新帧 ...

  5. 【Redis】Redis 主从模式搭建

    主从模式介绍 Redis虽然读取写入的速度都特别快,但是也会产生读压力特别大的情况.为了分担读压力,Redis支持主从复制,Redis的主从结构可以采用一主多从或者级联结构,Redis主从复制可以根据 ...

  6. Qt编写气体安全管理系统10-数据导出

    一.前言 数据导出一般指导出到excel表格,可能有部分用户还需要导出到pdf,因为pdf基本上不可编辑,防止用户重新编辑导出的数据,excel可能绝大部分用过电脑的人都知道,广为流行,主要就是微软的 ...

  7. pytorch中调整学习率的lr_scheduler机制

    有的时候需要我们通过一定机制来调整学习率,这个时候可以借助于torch.optim.lr_scheduler类来进行调整:一般地有下面两种调整策略:(通过两个例子来展示一下) 两种机制:LambdaL ...

  8. Python - Django - session 的基本使用

    urls.py: from django.conf.urls import url from app02 import views urlpatterns = [ # app02 url(r'^app ...

  9. easyui datagrid里的toobar按钮隐藏、显示、禁用等方式的实现

    easyui datagrid里的toobar按钮隐藏.显示.禁用等方式的实现 //隐藏第一个按钮 $('div.datagrid-toolbar a').eq(0).hide(); //隐藏第一条分 ...

  10. 【Leetcode_easy】860. Lemonade Change

    problem 860. Lemonade Change solution class Solution { public: bool lemonadeChange(vector<int> ...